Ahultasun kritiko bat (CVE-2023-27482) identifikatu da Home Assistant etxeko automatizazio irekiko plataforman, eta horrek autentifikazioa saihestu eta gainbegirale API pribilegiaturako sarbide osoa lortzeko aukera ematen du, zeinaren bidez ezarpenak aldatu, softwarea instalatu / eguneratu, gehiketa kudeatu dezakezu -ak eta babeskopiak.
Gaiak gainbegiratzaile osagaia erabiltzen duten instalazioei eragiten die eta bere lehen bertsioetatik (2017tik) egon da. Esaterako, ahultasuna Home Assistant OS eta Home Assistant gainbegiratutako inguruneetan dago, baina ez du eragiten Home Assistant Container (Docker) eta eskuz sortutako Python inguruneetan Home Assistant Core-n oinarrituta.
Ahultasuna Home Assistant Supervisor 2023.01.1 bertsioan konpondu da. Home Assistant 2023.3.0 bertsioan segurtasun saihesteko aukera gehigarri bat sartzen da. Ahultasuna blokeatzeko eguneratzea instalatzen ez duten sistemetan, Home Assistant web zerbitzuaren sareko atakarako sarbidea muga dezakezu kanpoko sareetatik.
Ahultasunaren ustiapen metodoa oraindik ez da zehaztu (garatzaileen arabera, erabiltzaileen 1/3 inguruk eguneraketa instalatu dute eta sistema asko zaurgarriak izaten jarraitzen dute). Zuzendutako bertsioan, optimizazioaren itxurapean, tokenen eta proxy-eskaeren prozesamenduan aldaketak egin ziren eta SQL kontsulten ordezkapena blokeatzeko iragazkiak gehitu ziren, etiketa sartuz " Β» ΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ ΠΏΡΡΠ΅ΠΉ Ρ Β«../Β» ΠΈ Β«/./Β».
Iturria: opennet.ru